[Comm] "pam_mount password:" - неаккуратненько как-то

Dmitry V. Levin ldv на altlinux.org
Пт Июн 26 01:19:16 MSD 2009 

On Thu, Jun 25, 2009 at 11:27:46AM +0500, Денис Черносов wrote:
> 24 июня 2009 г. 16:12 пользователь Dmitry V. Levin (ldv на altlinux.org) написал:
> > On Wed, Jun 24, 2009 at 01:31:29PM +0500, Денис Черносов wrote:
> > Какой смысл выполнять pam_mount.so до аутентификации (pam_tcb.so/pam_ldap.so)?
> > Зачем вообще pam_mount.so помещать в стек аутентификации?
> 
> Если я монтирую ресурс, требующий аутентификации, то модулю pam_mount
> нужен логин-пароль. Реальная аутентификация так и продолжает
> происходить либо в pam_ldap либо в pam_tcb,  а pam_mount выступает в
> роли прокси: запросил данные от своего имени, сохранил себе копию и
> отправил далее по этапу.
> 
> Так я представляю себе эту ситуацию.

Если модулю pam_mount нужен пароль, то ему нужно присутствовать в стеке
аутентификации.  Но пока основные модули аутентификации не дали своё
добро, pam_mount не должен вмешиваться.

Вы, конечно, правы в том, что использование sufficient вынуждает помещать
pam_mount.so в стек перед sufficient.  Это значит, что вместо sufficient
лучше использовать переходы, как предложил Andrew Morgan, только тогда надо
указывать правильные значения для переходов.

Пожалуй, я попробую заменить в system-auth* все sufficient на переходы.

> >> auth     [success=2 default=ignore]       pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
> >> auth     requisite pam_succeed_if.so uid >= 500 quiet
> >> auth     [success=1 default=ignore]       pam_ldap.so use_first_pass
> >> auth     optional       pam_mount.so
> 
> > Например, если pam_ldap.so в стеке auth вернул success, то
> > какой модуль в стеке auth будет выполнен следующим?
> 
> Если я правильно расшифровываю, то [success=2 default=ignore]
> означает, что при успешной авторизации pam_tcb отвечает success и
> перескакивает через один модуль.

Нет.  Давайте почитаем pam.conf(5) вместе.  Там написано, что
"The actionN can be: an unsigned integer, n, signifying an action of ’jump
over the next n modules in the stack’".

Как правильно перевести фразу "jump over the next n modules in the stack"
при n == 2?


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20090626/e3d068a6/attachment.bin>

Подробная информация о списке рассылки community